更新时间:2024-09-12 GMT+08:00

配置Flexus L实例安全组规则

操作场景

您可以通过设置安全组规则,保证云服务器等实例的网络安全。

  • 入方向:入方向规则放通网络流量,指从外部请求安全组规则下的云服务器。
  • 出方向:出方向规则放通网络流量。指安全组规则下的云服务器访问安全组外的实例。

操作步骤

  1. 登录Flexus应用服务器L实例控制台,单击资源卡片,进入资源页面。
  2. 在左侧列表中选择“云主机 VM”,单击云主机名称,进入云主机详情页面。
  3. 在“安全组”页签,选择配置“入方向规格”,单击“添加规则”,添加入方向规则。

    单击“+”按钮,可以依次增加多条入方向规则。

    应用镜像常用的安全组规则配置示例请参见Flexus L实例应用镜像安全组配置示例
    图1 添加入方向规则
    表1 入方向规则参数说明

    参数

    说明

    取值样例

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略

    安全组规则策略,支持的策略如下:
    • 如果“策略”设置为允许,表示允许源地址访问安全组内云服务器的指定端口。
    • 如果“策略”设置为拒绝,表示拒绝源地址访问安全组内云服务器的指定端口。

    优先级相同的情况下,拒绝策略优先于允许策略。

    允许

    类型

    源地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型。

    目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在入方向规则中,表示外部访问安全组内实例的指定端口。

    端口填写支持下格式:
    • 单个端口:例如22
    • 连续端口:例如22-30
    • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
    • 全部端口:为空或1-65535

    22或22-30

    源地址

    源地址是入方向规则中,用来匹配外部请求的地址,支持以下格式:
    • IP地址:表示源地址为某个固定的IP地址。当源地址选择IP地址时,您可以在一个IP地址框内同时输入多个IP地址,一个IP地址对应一条安全组规则。
      • 单个IP地址:IP地址/掩码。

        单个IPv4地址示例为192.168.10.10/32。

        单个IPv6地址示例为2002:50::44/128。

      • IP网段:IP地址/掩码。

        IPv4网段示例为192.168.52.0/24。

        IPv6网段示例为2407:c080:802:469::/64。

      • 所有IP地址:

        0.0.0.0/0表示匹配所有IPv4地址。

        ::/0表示匹配所有IPv6地址。

    • 安全组:表示源地址为另外一个安全组,您可以在下拉列表中,选择当前账号下,同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A设置入方向规则时的“策略”为允许,源地址选择安全组B时,表示来自实例b的内网访问请求被允许进入实例a。
    • IP地址组:表示源地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。

    IP地址:0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  4. 在“安全组”页签,选择配置“出方向规格”,单击“添加规则”,添加出方向规则。
    单击“+”按钮,可以依次增加多条出方向规则。
    表2 出方向规则参数说明

    参数

    说明

    取值样例

    优先级

    安全组规则优先级。

    优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,规则优先级级别越高。

    1

    策略

    安全组规则策略,支持的策略如下:
    • 如果“策略”设置为允许,表示允许安全组内的云服务器访问目的地址的指定端口。
    • 如果“策略”设置为拒绝,表示拒绝安全组内的云服务器访问目的地址的指定端口。

    优先级相同的情况下,拒绝策略优先于允许策略。

    允许

    类型

    目的地址支持的IP地址类型,如下:
    • IPv4
    • IPv6

    IPv4

    协议端口

    安全组规则中用来匹配流量的网络协议类型。

    目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。

    TCP

    安全组规则中用来匹配流量的目的端口,取值范围为:1~65535。

    在出方向规则中,表示安全组内实例访问外部的指定端口。

    端口填写支持下格式:
    • 单个端口:例如22
    • 连续端口:例如22-30
    • 多个端口:例如22,23-30,一次最多支持20个不连续端口组, 端口组之间不能重复。
    • 全部端口:为空或1-65535

    22或22-30

    目的地址

    目的地址是出方向规则中,用来匹配内部请求的地址,支持以下格式:
    • IP地址:表示目的地址为某个固定的IP地址。当目的地址选择IP地址时,您可以在一个IP地址框内同时输入多个IP地址,一个IP地址对应一条安全组规则。
      • 单个IP地址:IP地址/掩码。

        单个IPv4地址示例为192.168.10.10/32。

        单个IPv6地址示例为2002:50::44/128。

      • IP网段:IP地址/掩码。

        IPv4网段示例为192.168.52.0/24。

        IPv6网段示例为2407:c080:802:469::/64。

      • 所有IP地址:

        0.0.0.0/0表示匹配所有IPv4地址。

        ::/0表示匹配所有IPv6地址。

    • 安全组:表示目的地址为另外一个安全组,您可以在下拉列表中,选择当前账号下,同一个区域内的其他安全组。当安全组A内有实例a,安全组B内有实例b,在安全组A设置出方向规则时的“策略”为允许,目的地址选择安全组B时,表示实例a内部的请求被允许出去访问实例b。
    • IP地址组:表示目的地址为一个IP地址组,IP地址组是一个或者多个IP地址的集合。您可以在下拉列表中,选择可用的IP地址组。对于安全策略相同的IP网段和IP地址,此处建议您使用IP地址组简化管理。

    IP地址:0.0.0.0/0

    描述

    安全组规则的描述信息,非必填项。

    描述信息内容不能超过255个字符,且不能包含“<”和“>”。

    -

  5. 单击“确定”,完成安全组规则配置。

结果验证

安全组规则配置完成后,需要验证对应的规则是否生效。假设您在云服务器上部署了网站,希望用户能通过HTTP(80端口)访问到您的网站,您添加了一条入方向规则,如表3所示。

表3 安全组规则

方向

协议/应用

端口

源地址

入方向

TCP

80

0.0.0.0/0

Linux云服务器

Linux云服务器上验证该安全组规则是否生效的步骤如下所示。

  1. 登录云服务器。
  2. 运行如下命令查看TCP 80端口是否被监听。

    netstat -an | grep 80

    如果返回结果如图2所示,说明TCP 80端口已开通。

    图2 Linux TCP 80端口验证结果
  3. 在浏览器地址栏里输入“http://云服务器公网IP地址”。

    如果访问成功,说明安全组规则已经生效。

相关操作

“入方向规则”“出方向规则”页签,您也可以对已有的规则进行修改、复制或删除。

删除安全组规则会导致部分功能无法使用:

  • 删除TCP(20-21)规则会导致无法通过FTP协议向云服务器上传或下载文件。
  • 删除ICMP规则会导致使用Ping程序测试云服务器无法连通。
  • 删除TCP(443)规则会导致无法使用HTTPS协议访问网站。
  • 删除TCP(80)规则会导致无法使用HTTP协议访问网站。
  • 删除TCP(22)规则会导致无法通过SSH协议远程连接到Linux操作系统云服务器。